El documento presenta el nuevo Esquema Nacional de Seguridad aprobado por Real Decreto 311/2022. El Esquema actualiza los principios, requisitos y medidas de seguridad para alinearlos con el marco legal y estratégico actual y facilitar la seguridad de la administración digital. Se revisaron de forma pormenorizada los requisitos mínimos, principios y 73 medidas de seguridad para hacer el Esquema más eficaz y eficiente. El Esquema tiene como objetivo mejorar la ciberseguridad del sector público mediante la actualización
The National Security Framework (ENS) provides the basic principles and minimum security requirements, proportionality through categorization into three steps, security measures updated and adapted to Digital Government, flexibility mechanisms through compliance profiles, accreditation and conformity through a certification scheme with the National Accreditation Entity, ENAC, and monitoring through the Annual Report on State of Security, along with more than 100 support guides ( CCN-STIC) and a collection of support tools provided by CCN-CERT, plus the references in the instruments for central procurement of IT services and products.
The ENS is applicable to the entire public sector, to systems that process classified information, to those who provide services or provide solutions to public sector entities, and to the supply chain of such contractors on the basis of risk analysis.
Mavenir: Why and How Private LTE & 5G Networks Are Rapidly Evolving for Enter...Mavenir
Dean Bubley, Founder of Disruptive Analysis and well known industry analyst, and Aniruddho Basu, Mavenir SVP/GM of Global Emerging Business, showcase the future of Private LTE & 5G Networks. Presentation from the "Why and How Private LTE & 5G Networks Are Rapidly Evolving for Enterprises" webinar.
For Reference watch my YouTube Video - https://youtu.be/NqvNFwa0hQc
Hey Everyone!
This is my complete talk in a virtual conference for cybersecurity researchers that has been hosted by Bsides Maharashtra and thanks to them that they provided me an opportunity to share my thoughts and knowledge with passionate and budding cybersecurity researchers, Hackers, Bug Hunters, and geeks. My talk is all about the detailed explanation of AI in Cyber Security and this should be listened to by every Cyber Sec Person who wants to learn about How AI Can Help In Cyber Security. I have explained the most and every basic to advance information. So do give it a look and understand the concepts and share as much as you can. Thank you Bsides Maharashtra for inviting me. I am happy and excited to be a part of your event.
If you want to invite me for a webinar or conference connect
mail: hello@priyanshuratnakar.com or priyanshuratnakar@protonmail.com
vent details
Date - 25th to 27th November 2020
CTF
Workshop
Speaker session
website - https://bsidesmaharashtra.com/
Security BSides is a community-driven framework for building events by and for information security community members. These events are already happening in major cities all over the world! We are responsible for organizing an independent BSides approved event for Delhi, India. We’re a volunteer organized event (we have no paid staff), and we truly strive to keep information accessible for everyone.
The idea behind the Security BSides Delhi is to organize an Information Security gathering where professionals, experts, researchers, and InfoSec enthusiasts come together to discuss. It creates opportunities for individuals to both presents and participates in an intimate atmosphere that encourages collaboration. It is an intense event with discussions, demos, and interaction from participants. It is where conversations for the next-big-thing are happening.
Feel free to use the slide but give credit somewhere :)
TAICS - Cybersecurity Certification for European Market.pptxJavier Tallón
Taiwan Association of Information and Communication Standards (TAICS) organized a private event aimed mainly at Taiwanese developers and manufacturers who intend to integrate their products into the European market.
Due to the amount of existing cybersecurity legislation and methodologies in Europe, TAICS offered a webinar to clarify certain doubts, mainly regarding legal milestones and mandatory compliance when including an IT product in the European market.
The National Security Framework (ENS) provides the basic principles and minimum security requirements, proportionality through categorization into three steps, security measures updated and adapted to Digital Government, flexibility mechanisms through compliance profiles, accreditation and conformity through a certification scheme with the National Accreditation Entity, ENAC, and monitoring through the Annual Report on State of Security, along with more than 100 support guides ( CCN-STIC) and a collection of support tools provided by CCN-CERT, plus the references in the instruments for central procurement of IT services and products.
The ENS is applicable to the entire public sector, to systems that process classified information, to those who provide services or provide solutions to public sector entities, and to the supply chain of such contractors on the basis of risk analysis.
Mavenir: Why and How Private LTE & 5G Networks Are Rapidly Evolving for Enter...Mavenir
Dean Bubley, Founder of Disruptive Analysis and well known industry analyst, and Aniruddho Basu, Mavenir SVP/GM of Global Emerging Business, showcase the future of Private LTE & 5G Networks. Presentation from the "Why and How Private LTE & 5G Networks Are Rapidly Evolving for Enterprises" webinar.
For Reference watch my YouTube Video - https://youtu.be/NqvNFwa0hQc
Hey Everyone!
This is my complete talk in a virtual conference for cybersecurity researchers that has been hosted by Bsides Maharashtra and thanks to them that they provided me an opportunity to share my thoughts and knowledge with passionate and budding cybersecurity researchers, Hackers, Bug Hunters, and geeks. My talk is all about the detailed explanation of AI in Cyber Security and this should be listened to by every Cyber Sec Person who wants to learn about How AI Can Help In Cyber Security. I have explained the most and every basic to advance information. So do give it a look and understand the concepts and share as much as you can. Thank you Bsides Maharashtra for inviting me. I am happy and excited to be a part of your event.
If you want to invite me for a webinar or conference connect
mail: hello@priyanshuratnakar.com or priyanshuratnakar@protonmail.com
vent details
Date - 25th to 27th November 2020
CTF
Workshop
Speaker session
website - https://bsidesmaharashtra.com/
Security BSides is a community-driven framework for building events by and for information security community members. These events are already happening in major cities all over the world! We are responsible for organizing an independent BSides approved event for Delhi, India. We’re a volunteer organized event (we have no paid staff), and we truly strive to keep information accessible for everyone.
The idea behind the Security BSides Delhi is to organize an Information Security gathering where professionals, experts, researchers, and InfoSec enthusiasts come together to discuss. It creates opportunities for individuals to both presents and participates in an intimate atmosphere that encourages collaboration. It is an intense event with discussions, demos, and interaction from participants. It is where conversations for the next-big-thing are happening.
Feel free to use the slide but give credit somewhere :)
TAICS - Cybersecurity Certification for European Market.pptxJavier Tallón
Taiwan Association of Information and Communication Standards (TAICS) organized a private event aimed mainly at Taiwanese developers and manufacturers who intend to integrate their products into the European market.
Due to the amount of existing cybersecurity legislation and methodologies in Europe, TAICS offered a webinar to clarify certain doubts, mainly regarding legal milestones and mandatory compliance when including an IT product in the European market.
Il 9 maggio 2023 Vincenzo Calabrò ha tenuto una lezione per lo Sviluppo delle competenze digitali dal titolo: La cybersecurity e la protezione dei dati presso la Scuola Nazionale dell'Amministrazione.
https://www.vincenzocalabro.it
As we enter the digital economy, companies will quickly realize that the differentiator in the digital economy is information and information being a valuable resource is subject to theft, hacking, phishing and a host of other issues which compromise a company’s ability to participate in the digital economy. Cybersecurity misfires compromise the trust of buyers and partners necessary to participate in the digital economy. It is up to every company to ensure that the information shared with them is protected to the best of their ability and proactively notify persons and organizations who entrust their information necessary to transact business (any personal identity information including but not limited to addresses, credit card information, social security numbers, account information, credit information, medical records, etc.) with any potential compromises which can yield harm to them by that information either being used maliciously or shared with others.
This purpose of this writing is to cover some of the core requirements for implementing cybersecurity, the accountabilities for cybersecurity risks and the information used to manage a viable cybersecurity program.
Internet of Things (IoT) links the objects of the real world to the virtual world, and enables anytime, anywhere connectivity for anything that has an ON and OFF switch. It constitutes to a world where physical objects and living beings, as well as virtual data and environments, interact with each other. Large amount of data is generated as large number of devices are connected to the internet. So this large amount of data has to be controlled and converted to useful information in order to develop efficient systems. In this paper, we focus on to an application of IoT in military service that is used to reduce the time and increase speed. IoT based intelligent transportation systems, deffense & security,Industry & most important Health monitoring system are designed to support the Smart City vision & various field which aims at employing the advanced and powerful technologies for the administration of the people and many service. Renuka Chandrakant Sonare | Dinesh V. Rojatkar"Application OF IoT in Military Service" Published in International Journal of Trend in Scientific Research and Development (ijtsrd), ISSN: 2456-6470, Volume-1 | Issue-6 , October 2017, URL: http://www.ijtsrd.com/papers/ijtsrd4629.pdf http://www.ijtsrd.com/engineering/electronics-and-communication-engineering/4629/application-of-iot-in-military-service/renuka-chandrakant-sonare
Forensics on the Internet of Things plays a vital role in the development of a much more secured IoT environment as the compromised nodes can be easily discovered so as the hacker who has done it.
Come conformarsi al Regolamento DORA sulla cybersecurityGiulio Coraggio
Il Regolamento DORA introduce nuovi obblighi di cybersecurity per banche, assicurazioni, società di servizi di criptovalute, istituzioni finanziarie e i loro fornitori.
In questa infografica, gli avvocati Maria Chiara Meneghetti e Deborah Paracchini dello studio legale DLA Piper danno delle indicazioni su cosa fare per conformarsi agli obblighi previsti dal regolamento. Si tratta di adempimenti sia tecnici che legali che richiedono un approccio integrato alla messa in conformità.
E' possibile leggere un articolo sull'argomento al seguente link https://dirittoaldigitale.com/2022/12/27/regolamento-dora-approvato-cybersecurity/
Cyber risk management and the benefits of quantificationDavid X Martin
Cyber security is an unknown, unknown risk which is difficult to quantify. Focus on the impact of the cyber security events, not how they happen. Use disruption models to quantify operational disruptions. Convert as many unknown risks into known risks, so they can be quantified. And for those truly unknowable risks, focus on what needs to be done to ensure survivability.
The impact of emerging IoT Technology and BigData. This is the slide presentation I did at the http://globalbigdatabootcamp.com/speakers/sanjay-sabnis/
An overview of security and privacy challenges that must be faced and solved when creating new Things for the Internet of Things. We discussed why are Things inherently insecure together with examples of attack vectors and learned some risk mitigation strategies. We realized why should users be wary of Things violating their privacy and gained awareness of upcoming EU privacy legislation that affects providers of IoT-based solutions. Talk given at Pixels Camp 2017, Lisbon.
A big challenge for mobile network operators in the new, ever-evolving 5G era is the signaling security of the standardized protocols used in order to exchange data. Telecommunication companies face this challenge and have to be on the verge every time there is a potential hacker attack. What is the best way to approach these striking threats and even to be ready before it occurs?
In our webinar, Positive Technologies will offer you several breakthrough strategies on how to deal with security flaws in telecom.
Our expert will show you the evolution of protocol security, share insights into the potential activities of a hacker and give useful advice about compliance with security standards.
Singapore Cybersecurity Strategy and Legislation (2018)Benjamin Ang
A primer on Singapore's Cybersecurity Strategy, and the laws of Singapore relating to Cybersecurity (Computer Misuse Act, Personal Data Protection Act, Cybersecurity Act 2018). Also contains a summary of the results of the Public Consultation on the Cybersecurity Bill
The future of regulation: Principles for regulating emerging technologiesDeloitte United States
As emerging technologies drive new business and service models, governments must rapidly create, modify, and enforce regulations. The preeminent issue is how to protect citizens and ensure fair markets while letting innovation and businesses flourish. https://deloi.tt/2NaeMRD
Il 9 maggio 2023 Vincenzo Calabrò ha tenuto una lezione per lo Sviluppo delle competenze digitali dal titolo: La cybersecurity e la protezione dei dati presso la Scuola Nazionale dell'Amministrazione.
https://www.vincenzocalabro.it
As we enter the digital economy, companies will quickly realize that the differentiator in the digital economy is information and information being a valuable resource is subject to theft, hacking, phishing and a host of other issues which compromise a company’s ability to participate in the digital economy. Cybersecurity misfires compromise the trust of buyers and partners necessary to participate in the digital economy. It is up to every company to ensure that the information shared with them is protected to the best of their ability and proactively notify persons and organizations who entrust their information necessary to transact business (any personal identity information including but not limited to addresses, credit card information, social security numbers, account information, credit information, medical records, etc.) with any potential compromises which can yield harm to them by that information either being used maliciously or shared with others.
This purpose of this writing is to cover some of the core requirements for implementing cybersecurity, the accountabilities for cybersecurity risks and the information used to manage a viable cybersecurity program.
Internet of Things (IoT) links the objects of the real world to the virtual world, and enables anytime, anywhere connectivity for anything that has an ON and OFF switch. It constitutes to a world where physical objects and living beings, as well as virtual data and environments, interact with each other. Large amount of data is generated as large number of devices are connected to the internet. So this large amount of data has to be controlled and converted to useful information in order to develop efficient systems. In this paper, we focus on to an application of IoT in military service that is used to reduce the time and increase speed. IoT based intelligent transportation systems, deffense & security,Industry & most important Health monitoring system are designed to support the Smart City vision & various field which aims at employing the advanced and powerful technologies for the administration of the people and many service. Renuka Chandrakant Sonare | Dinesh V. Rojatkar"Application OF IoT in Military Service" Published in International Journal of Trend in Scientific Research and Development (ijtsrd), ISSN: 2456-6470, Volume-1 | Issue-6 , October 2017, URL: http://www.ijtsrd.com/papers/ijtsrd4629.pdf http://www.ijtsrd.com/engineering/electronics-and-communication-engineering/4629/application-of-iot-in-military-service/renuka-chandrakant-sonare
Forensics on the Internet of Things plays a vital role in the development of a much more secured IoT environment as the compromised nodes can be easily discovered so as the hacker who has done it.
Come conformarsi al Regolamento DORA sulla cybersecurityGiulio Coraggio
Il Regolamento DORA introduce nuovi obblighi di cybersecurity per banche, assicurazioni, società di servizi di criptovalute, istituzioni finanziarie e i loro fornitori.
In questa infografica, gli avvocati Maria Chiara Meneghetti e Deborah Paracchini dello studio legale DLA Piper danno delle indicazioni su cosa fare per conformarsi agli obblighi previsti dal regolamento. Si tratta di adempimenti sia tecnici che legali che richiedono un approccio integrato alla messa in conformità.
E' possibile leggere un articolo sull'argomento al seguente link https://dirittoaldigitale.com/2022/12/27/regolamento-dora-approvato-cybersecurity/
Cyber risk management and the benefits of quantificationDavid X Martin
Cyber security is an unknown, unknown risk which is difficult to quantify. Focus on the impact of the cyber security events, not how they happen. Use disruption models to quantify operational disruptions. Convert as many unknown risks into known risks, so they can be quantified. And for those truly unknowable risks, focus on what needs to be done to ensure survivability.
The impact of emerging IoT Technology and BigData. This is the slide presentation I did at the http://globalbigdatabootcamp.com/speakers/sanjay-sabnis/
An overview of security and privacy challenges that must be faced and solved when creating new Things for the Internet of Things. We discussed why are Things inherently insecure together with examples of attack vectors and learned some risk mitigation strategies. We realized why should users be wary of Things violating their privacy and gained awareness of upcoming EU privacy legislation that affects providers of IoT-based solutions. Talk given at Pixels Camp 2017, Lisbon.
A big challenge for mobile network operators in the new, ever-evolving 5G era is the signaling security of the standardized protocols used in order to exchange data. Telecommunication companies face this challenge and have to be on the verge every time there is a potential hacker attack. What is the best way to approach these striking threats and even to be ready before it occurs?
In our webinar, Positive Technologies will offer you several breakthrough strategies on how to deal with security flaws in telecom.
Our expert will show you the evolution of protocol security, share insights into the potential activities of a hacker and give useful advice about compliance with security standards.
Singapore Cybersecurity Strategy and Legislation (2018)Benjamin Ang
A primer on Singapore's Cybersecurity Strategy, and the laws of Singapore relating to Cybersecurity (Computer Misuse Act, Personal Data Protection Act, Cybersecurity Act 2018). Also contains a summary of the results of the Public Consultation on the Cybersecurity Bill
The future of regulation: Principles for regulating emerging technologiesDeloitte United States
As emerging technologies drive new business and service models, governments must rapidly create, modify, and enforce regulations. The preeminent issue is how to protect citizens and ensure fair markets while letting innovation and businesses flourish. https://deloi.tt/2NaeMRD
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedadesMiguel A. Amutio
INAP- SOCINFO. El nuevo Esquema Nacional de Seguridad: principales novedades.
Desde su aparición en 2010, el ENS se ha desarrollado para ofrecer un planteamiento común de principios básicos, requisitos mínimos, medidas de seguridad, así como de mecanismos de conformidad en colaboración con la Entidad Nacional de Acreditación (ENAC), y de monitorización, a través del informe INES sobre el estado de la seguridad, junto con las instrucciones técnicas de seguridad, las guías CCN-STIC y las soluciones del CCN-CERT, todo ello adaptado al cometido del sector público y de sus proveedores.
A lo largo de estos años y, particularmente, desde la actualización en 2015, se ha acelerado la transformación digital contribuyendo a un aumento notable de la superficie de exposición al riesgo; se han intensificado los ciberataques y las ciberamenazas; se ha incrementado la experiencia acumulada en la implantación del ENS; se ha producido una evolución y especialización de los agentes afectados directa o indirectamente; se ha implantado la certificación de la conformidad con el ENS desde 2016; y se ha constituido el Consejo de Certificación del ENS (CoCENS) en 2018. Por estas razones ha sido necesaria una nueva actualización del ENS publicada en 2022 mediante el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
En esta presentación se exponen los objetivos de la actualización del ENS y se tratan las grandes novedades en relación con cuestiones tales como el ámbito de aplicación, la política de seguridad, la organización de la seguridad, los principios básicos, los requisitos mínimos, los perfiles de cumplimiento específicos, la respuesta a incidentes de seguridad y las medidas de seguridad y su codificación.
El ENS y la gestión continua de la seguridad.
Retos y conclusiones. La evolución hacia la administración digital requiere la protección de la información y los servicios. El ENS, de aplicación a todas las AA.PP., persigue la creación de condiciones de seguridad, impulsa la gestión continuada y el tratamiento homogéneo de la seguridad, adaptado al quehacer de la Administración, proporcionando el adecuado respaldo legal.
Retos: Avanzar en ciberseguridad de las AA.PP. Mejorar la seguridad del conjunto y reducir el esfuerzo individual por parte de las entidades del Sector Público Estatal. Mejorar la adecuación.
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
Checkpoint Technologies, empresa a la que hemos ayudado a certificar/cualificar varios de sus soluciones con el fin de formar parte del catálogo CPSTIC / CCN STIC-105, nos invitó como ponentes a este webinar en el que tuvimos la oportunidad de explicar lo siguientes puntos:
• Introducción al Centro Criptológico Nacional (CC) y el Esquema Nacional de Seguridad (ENS)
• En qué consiste el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC)
• Beneficios de la certificación/cualificación de una solución y el cumplimiento del ENS para tu organización y principales
Similar a IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad (20)
En esta introducción explico el papel que se vislumbró en su momento para la interoperabilidad en la administración electrónica/digital; los antecedentes; el contexto europeo; la elaboración del Esquema Nacional de Interoperabilidad, de sus Normas Técnicas de Interoperabilidad, junto con el Esquema de Metadatos para la Gestión del Documento Electrónico y la extensa colección de guías aplicación y documentos de soporte interpretativo; la interacción bidireccional en la redacción del ENI y del Marco Europeo de Interoperabilidad; las referencias cruzadas con el Esquema Nacional de Seguridad (ENS); el apunte hacia el futuro; el método aplicado para la elaboración del ENI y de sus Normas Técnicas de Interoperabilidad, a menudo abriendo camino, sin referencias o modelos orientativos, partiendo de un folio en blanco, acotando alcances para poder avanzar, a la vez que siendo conscientes de los retos por delante; y la referencia al esfuerzo colectivo, multidisciplinar, sostenido en el tiempo, así como a las personas que han contribuido especialmente a lo que el Esquema Nacional de Interoperabilidad y sus Normas Técnicas de Interoperabilidad son actualmente; y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo de las Administraciones Públicas (véase, por ejemplo, en las Guías de Aplicación de las Normas Técnicas de Interoperabilidad el anexo de Equipo Responsable), así como del ámbito más amplio de la Comunidad, tanto del sector público como del sector privado, que han contribuido a lo largo del tiempo con tantas aportaciones significativas; más quienes se han sumado a su implantación práctica, tarea que les ha ofrecido una oportunidad de protagonismo en sus propias organizaciones.
Detrás de la elaboración y desarrollo del Esquema Nacional de Seguridad, a lo largo del tiempo desde su concepción y primera versión (Real Decreto 3/2010), hasta sus sucesivas actualizaciones (Real Decreto 951/2015, Real Decreto 311/2022), hay personas concretas, con nombres y apellidos.
Aquellas personas que forman parte de los grupos de trabajo que vienen contribuyendo al ENS con sus opiniones y aportaciones, tanto de la Administración General del Estado como de las demás Administraciones Públicas; y, particularmente, aquellas personas que, de forma más directamente, han contribuido a lo que el ENS es actualmente, en un trabajo sostenido en el tiempo como Luis Jiménez, Javier Candau, Pablo López y su equipo, José Mª Molina, José A. Mañas, Carlos Galán, José Mª Fernández Lacasa y Miguel A. Amutio.
Más personas de los diversos soportes, como Ricardo Gómez Veiga, José Miguel López García y Raquel Monje de Abajo.
Sin olvidar a los superiores jerárquicos que apoyaron, a menudo con paciencia, los antecedentes y las sucesivas versiones y actualizaciones del ENS como Victor M. Izquierdo, Francisco López Crespo, Juan Miguel Márquez, Fernando de Pablo, Esther Arizmendi, Domingo Molina, Juan Jesús Torres, Félix Sanz Roldán y Paz Esteban.
Y teniendo en cuenta que ha habido numerosas personas de los grupos de trabajo citados, así como del ámbito más amplio de la comunidad de ciberseguridad, tanto del sector público como del sector privado, que vienen contribuyendo a lo largo del tiempo con aportaciones significativas.
En la elaboración del Esquema Nacional de Interoperabilidad, desde su concepción y primera versión (Real Decreto 4/2010) hasta su actualización (Real Decreto 203/2021, Disposición final segunda), de sus normas técnicas de interoperabilidad, guías de aplicación y documentos asociados y Esquema de Metadatos de Gestión del Documento Electrónico, han trabajado muchas personas, concretas, con nombre y apellidos, durante mucho tiempo, muy intensamente y, por momentos, bajo una presión considerable.
Contexto europeo de ciberseguridad:
- Marco legal
- Cooperación, gobernanza y comunidad
- Capacidades operacionales de prevención, detección y respuesta
- Recursos de financiación
El nuevo ENS ante la ciberseguridad que viene. XVI Jornadas STIC CCN-CERT
La aceleración de la digitalización impulsa la transformación de todo tipo de actividades, de las relaciones sociales, así como del valor de datos y servicios, atracción de la ciberamenaza, a la vez que da lugar a la ampliación de la superficie de exposición a posibles ciberataques. El nuevo ENS resulta de una revisión exhaustiva de los principios, requisitos y medidas de seguridad para responder a las tendencias y necesidades de ciberseguridad en los próximos tiempos tanto de las entidades del sector público como de sus proveedores. En esta intervención se pone el nuevo ENS en el contexto en el que la Unión Europea refuerza los requisitos legales de ciberseguridad, las estructuras de gobernanza, cooperación y comunidad, así como las capacidades operacionales de ciberseguridad junto con los mecanismos de confianza en servicios y productos.
La preservación digital de datos y documentos a largo plazo: 5 retos próximosMiguel A. Amutio
XXVII Jornadas de Archivos Universitarios. Logroño, 10 de noviembre de 2022. CRUE - CAU Conferencia de Archivos de las Universidades Españolas. Universidad de La Rioja.
La preservación digital de datos y documentos a largo plazo: 5 retos próximos.
La aceleración de la digitalización impulsa la transformación de todo tipo de actividades, de las relaciones sociales, así como del valor de los datos y los servicios. En particular, la intensificación de la orientación al dato, que ha de convivir con la orientación al documento, lleva aparejada la aparición de nuevas regulaciones, dinámicas de gobernanza y roles, y servicios, junto con las correspondientes políticas, procedimientos y prácticas, estándares e instrumentos para su manejo, su protección en el escenario de la ciberseguridad, a la vez que su preservación a largo plazo.
En esta intervención se exponen cinco retos que se suscitan, entre otros posibles, en relación con la preservación digital de datos y documentos en el contexto de las tendencias en cuanto a la interoperabilidad, la ciberseguridad y la preservación de los datos.
Presente y futuro de la administración electrónicaMiguel A. Amutio
Presente y futuro de la administración electrónica
Curso Superior de Administración Electrónica
CPEIG - AMTEGA - EGAP - Xunta de Galicia
1. ¿Qué está ocurriendo? (Transformación digital, sí o sí)
2. ¿A dónde nos lleva la UE?
3. ¿De dónde partimos?
4. ¿Qué tenemos que hacer?
5. ¿Qué retos tenemos?
Revista SIC. El nuevo esquema nacional de seguridadMiguel A. Amutio
Revista SIC. Nº 150. Junio 2022. Coautores Miguel A. Amutio y Pablo López.
La reciente aprobación del nuevo Esquema Nacional de Seguridad ha sentado las bases para afrontar con un nuevo marco regulatorio firme la transformación digital del sector público y sus proveedores del sector privado. Y hacerlo con la resiliencia y las medidas de prevención y protección necesarias para afrontar los retos en materia de ciberseguridad que la sociedad actual demanda.
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGADMiguel A. Amutio
Modelo de Gobernanza de la Ciberseguridad en España. Perspectiva desde la SGAD.
Módulo 7 Ciberseguridad y Protección de Infraestructuras Críticas
Master en Tecnología e Innovación Digital en Ingeniería
Boe Código de Administración Electrónica - Nota del autorMiguel A. Amutio
Boe Código de Administración Electrónica - Nota del autor
Fernando de Pablo Martín
Secretario General de Administración Digital
Miguel A. Amutio Gómez
Director de la División de Planificación y Coordinación de Ciberseguridad
En esta segunda entrega, el periódico Tierra se adentra en la operación «Inherent Resolve», una de las dos en las que participa el Ejército de Tierra en Irak. Personal de las Fuerzas Aeromóviles del Ejército de Tierra y del Mando de Operaciones Especiales forman parte de la coalición internacional para la lucha contra el Dáesh.
Características del ESTADO URUGUAYO establecidos en la ConstituciónGraciela Susana Bengoa
Concepto General de ESTADO.
Características y estructura del Estado Uruguayo.
Normas Constitucionales donde se establece los distintos elementos que componen el Estado Uruguayo.
Este documento presenta una guía para encontrar soluciones a problemas complejos. Explica qué es un problema público, cómo podríamos definir un problema público, cómo podríamos definir un problema público de forma innovadora, cómo podríamos resolver un problema público con herramientas de pensamiento sistémico, sistemas complejos y pensamiento sistémico: ¿con qué herramientas contamos?
Con esta píldora formativa podrás comprender cómo implementar herramientas como el Arco del proceso de resolución de problemas (Beth S. Noveck / The GovLab), GovLab's Public Problem Solving Canvas o la Guía Un conjunto de herramientas introductorias al pensamiento sistémico para funcionarios públicos del Government Office for Science del Gobierno de Reino Unido.
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
1. EL NUEVO ESQUEMA NACIONAL
DE SEGURIDAD
Miguel A. Amutio Gómez
Director de Planificación y Coordinación de Ciberseguridad
Secretaría General de Administración Digital
Secretaría de Estado de Digitalización e Inteligencia Artificial
Ministerio de Asuntos Económicos y Transformación Digital
2. ENS – Dónde estamos
Fuente: Miguel A.Amutio
La seguridad, el largo camino…
Esfuerzo colectivo, multidisciplinar, y continuado en el tiempo
3. ENS – Enfoque global
CoCENS
Servicios CCN-CERT
Guías CCN-STIC (Serie 800)
Catálogo CPSTIC
Administración Digital
Órganos de Gobernanza
y cooperación en la
AGE de las AA.PP.
Liderazgo conjunto:
Contexto de
Gobernanza
Ciberseguridad
Nacional
Fuente: Miguel A. Amutio
4. ENS – Desarrollo
Conformidad Monitorización Informe INES
-
Soporte
Base legal Ámbito de aplicación
Sector Público
Información
clasificada
4 ITS publicadas
Real Decreto 3/2010
Actualizado en 2015
Real Decreto 311/2022
Anclado en leyes
40/2015 y 39/2015
Informe estado de
a seguridad
Conformidad con el ENS
Auditoría
Notificación de incidentes
Acreditación con ENAC
Certificadores
acreditados por ENAC
Entidades certificadas
(públicas/privadas)
Consejo de
Certificación del ENS
(CoCENS)
>90 guías CCN-STIC Serie 800
-
23 Soluciones de
ciberseguridad
Referente
8 ediciones del informe INES
Ley Orgánica 3/2018
Real Decreto 43/2021
+ Instrucciones
Técnicas de Seguridad
Proveedores
Esfuerzo colectivo, multidisciplinar,
sostenido en el tiempo + liderazgo conjunto de
5. ENS – Por qué la actualización
Fuente: Infografías ENS
Photo by Annie Spratt on Unsplash
7. ENS – Objetivos de la actualización
1. Mejorar y alinear el ENS con el nuevo marco
legal y estratégico para facilitar la seguridad de
la administración digital
2. Introducir la capacidad de ajustar los
requisitos del ENS para una aplicación más
eficaz y eficiente
3. Revisar de forma pormenorizada principios,
requisitos y medidas para facilitar la
adaptación a tendencias y necesidades en
ciberseguridad
Photo by Annie Spratt on Unsplash
8. RD 311/2022 – El nuevo ENS, en cifras
A la escucha desde 2015, por todos los canales
En preparación desde 2019
445 Observaciones (audiencia e información pública)
9 Informes
34.900 Palabras (frente a 20.500 de v2015)
90 Páginas
7 Capítulos, 41 Artículos, 3 dd.aa.; 1 d.t.; 1 d.d.u.; 4
dd.ff., 4 Anexos
7 Principios básicos
15 Requisitos mínimos
73 Medidas de seguridad
…
9. RD 311/2022 - Panorámica
1. Disposiciones generales, objeto, ámbito de aplicación, … (arts. 1 – 4)
2. Principios básicos, que sirven de guía. (arts. 5 – 11)
3. Requisitos mínimos, de obligado cumplimiento. (arts. 12 – 27)
4. Categorización de los sistemas para la adopción de medidas de seguridad
proporcionadas. (arts. 28, 40, 41, A-I y A-II)
5. Uso de productos certificados. Papel del Organismo de Certificación (OC-CCN)
(art. 19 y A-II)
6. Uso de infraestructuras y servicios comunes (art. 29)
7. Los perfiles de cumplimiento específicos (art. 30)
8. La auditoría de la seguridad que verifique el cumplimiento del ENS. (art. 31)
9. Informe del estado de la seguridad (art. 32)
10. Respuesta a incidentes de seguridad (arts. 33 y 34)
11. La conformidad con el ENS (art. 38)
12. La formación (D.a. 1ª)
13. Las instrucciones técnicas de seguridad (D.a. 2ª)
14. Las guías de seguridad (D.a. 2ª)
Fuente: Infografías ENS
Disposición transitoria única:
Adecuación de sistemas -> 24 meses
10. RD 311/2022 – Ámbito de aplicación claro (arts. 2, 3)
Todo el sector público según artículo 2 de la Ley
40/2015.
Sistemas que tratan información clasificada.
Entidades del sector privado cuando presten servicios o
provean soluciones.
Los pliegos de prescripciones contemplarán los
requisitos de conformidad con el ENS.
Referencia a la instalación, despliegue, explotación de
redes 5G o prestación de servicios 5G por entidades del
sector público.
Sistemas de información que traten datos personales.
Photo by Marvin Meyer on Unsplash
11. RD 311/2022 – Perfiles de cumplimiento (art. 30)
Photo by Alex Perez on Unsplash
Photo bClaudio Schwarz | @purzlbaum on Unsplash
Comprenderán aquel conjunto de medidas de seguridad
que resultando del preceptivo análisis de riesgos, resulten
idóneas para una concreta categoría de seguridad.
Persiguen introducir la capacidad de ajustar los
requisitos del ENS a necesidades específicas de
determinados
Colectivos: Entidades Locales, Universidades, Organismos
Pagadores, …
Ámbitos tecnológicos: servicios en la nube, …
Ej:
CCN-STIC-881A. Perfil de Cumplimiento Específico Universidades
CCN-STIC-883 Guía de implantación del ENS para Entidades Locales
…
12. RD 311/2022 – Respuesta a incidentes (art. 33)
Las entidades públicas notificarán al CCN-CERT los incidentes de
seguridad.
Las organizaciones del sector privado que presten servicios a las
entidades públicas notificarán al INCIBE-CERT quien lo pondrá
inmediatamente en conocimiento del CCN-CERT.
El CCN-CERT determinará técnicamente el riesgo de reconexión de
sistemas afectados, indicando procedimientos a seguir y salvaguardas
a implementar.
La SGAD autorizará la reconexión a medios y servicios comunes en
su ámbito de responsabilidad, si un informe de superficie de
exposición del CCN-CERT determina que el riesgo es asumible.
Papel de otros actores: Coordinación con el Ministerio del Interior a
través de la OCC (RD-l 12/2018); ESPDEF-CERT; IGAE.
Photo by Hack Capital on Unsplash
13. RD 311/2022 – Principios y requisitos
Photo by Alex Perez on Unsplash
Photo bClaudio Schwarz | @purzlbaum on Unsplash
Photo by Alex Perez on Unsplash
Photo by You X Ventures on Unsplash
Fuente: Infografías ENS
a) Seguridad como proceso integral.
b) Gestión de la seguridad basada en los riesgos.
c) Prevención, detección, respuesta y conservación.
d) Existencia de líneas de defensa.
e) Vigilancia continua.
f) Reevaluación periódica.
g) Diferenciación de responsabilidades.
a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos de seguridad y contratación de
servicios de seguridad.
h) Mínimo privilegio.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de la actividad y detección de código dañino.
m) Incidentes de seguridad.
n) Continuidad de la actividad.
ñ) Mejora continua del proceso de seguridad.
Política de seguridad y requisitos mínimos de seguridad
Organización e implantación del proceso de seguridad
14. RD 311/2022 – Medidas de seguridad
Marco organizativo: medidas
relacionadas con la organización global de
la seguridad
Marco operacional: medidas para
proteger la operación del sistema como
conjunto integral de componentes para un
fin.
Medidas de protección: para proteger
activos concretos, según su naturaleza,
con el nivel requerido, en cada dimensión
de seguridad.
Marco
organizativo
4 Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorización
Marco operacional
33
Medidas de protección
36
Planificación (5)
Control de acceso (6)
Explotación (10)
Recursos externos (4)
Servicios en la nube (1)
Continuidad del servicio (4)
Monitorización del sistema (3)
Instalaciones e infraestructuras (7)
Gestión del personal (4)
Protección de los equipos (4)
Protección de las comunicaciones (4)
Protección de los soportes de información (5)
Protección de las aplicaciones informáticas (2)
Protección de la información (6)
Protección de los servicios (4)
Fuente: Infografías ENS
15. RD 311/2022 – Revisión de medidas
Photo by Alex Perez on Unsplash
Photo bClaudio Schwarz | @purzlbaum on Unsplash
Photo by Alex Perez on Unsplash
Photo by You X Ventures on Unsplash
Fuente: Infografías ENS
16. RD 311/2022 – Requisitos y refuerzos codificados
Photo by Alex Perez on Unsplash
Photo bClaudio Schwarz | @purzlbaum on Unsplash
Photo by Alex Perez on Unsplash
Photo by You X Ventures on Unsplash
Codificación para facilitar de manera proporcionada la seguridad
de los sistemas de información, su implantación y su auditoría.
Se han codificado los requisitos de las medidas:
• Requisitos base
• Posibles refuerzos de seguridad (R), alineados con el nivel
de seguridad perseguido, que se suman (+) a los requisitos
base de la medida, pero que no siempre son incrementales
entre sí; de forma que, en ciertos casos, se puede elegir
entre aplicar un refuerzo u otro. Algunos refuerzos son de
carácter opcional.
18. Con el liderazgo de la Secretaría General de Administración Digital y el
Centro Criptológico Nacional, junto con sus equipos de colaboradores, el
ENS es el resultado de un esfuerzo colectivo del sector público
de España, con la colaboración del sector privado, que vienen
contribuyendo activamente a su elaboración, desarrollo, aplicación y
evolución.
Photo by Annie Spratt on Unsplash
19. Qué esperamos por vuestra parte
Photo by Paul Rysz on Unsplash
1. Que seáis partícipes y agentes de la
ciberseguridad, para llevarla a la realidad
práctica.
2. Si trabajáis para el sector público,
directa o indirectamente como prestadores
de servicios o proveedores de
soluciones (cadena de suministro), vuestra
colaboración para la plena aplicación
del ENS.